Pesquisadores de cibersegurança demonstraram um rootkit conceitual chamado Curing que utiliza um mecanismo de I/O assíncrona do Linux chamado io_uring para contornar o monitoramento tradicional de chamadas de sistema.
Isso causa um "ponto cego significativo nas ferramentas de segurança em tempo de execução do Linux", disse a ARMO.
"Esse mecanismo permite que uma aplicação do usuário execute várias ações sem utilizar chamadas de sistema", disse a empresa em um relatório compartilhado com a imprensa.
Como resultado, as ferramentas de segurança que dependem do monitoramento de chamadas de sistema estão 'às cegas' para rootkits que operam exclusivamente com io_uring.
O io_uring, introduzido pela primeira vez na versão 5.1 do kernel do Linux em março de 2019, é uma interface de chamada de sistema do kernel do Linux que emprega dois buffers circulares chamados de fila de submissão (SQ) e fila de conclusão (CQ) entre o kernel e uma aplicação (ou seja, espaço do usuário) para rastrear a submissão e conclusão de solicitações de I/O de maneira assíncrona.
O rootkit desenvolvido pela ARMO facilita a comunicação entre um servidor de comando e controle (C2) e um host infectado para buscar comandos e executá-los sem fazer quaisquer chamadas de sistema relevantes para suas operações, utilizando, em vez disso, io_uring para alcançar os mesmos objetivos.
A análise da ARMO sobre as ferramentas de segurança em tempo de execução do Linux atualmente disponíveis revelou que tanto o Falco quanto o Tetragon são "cegos" para operações baseadas em io_uring, devido ao fato de que dependem fortemente do hooking de chamadas de sistema.
Os riscos de segurança apresentados pelo io_uring são conhecidos há algum tempo.
Em junho de 2023, o Google revelou que decidiu limitar o uso da interface do kernel do Linux no Android, ChromeOS e em seus servidores de produção, pois "fornece primitivas fortes de exploração".
"Por um lado, você precisa de visibilidade das chamadas de sistema; por outro, você precisa de acesso a estruturas do kernel e contexto suficiente para detectar ameaças de maneira eficaz", disse Amit Schendel, Chefe de Pesquisa de Segurança na ARMO.
Muitos fornecedores tomam o caminho mais simples: hooking direto em chamadas de sistema.
Embora esta abordagem ofereça visibilidade rápida, ela vem com limitações.
Mais notavelmente, não é sempre garantido que as chamadas de sistema sejam invocadas.
O io_uring, que pode contorná-las totalmente, é um exemplo positivo e excelente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...